LOGO DURY RECHTSANWAELTE

Privacy by default und Privacy by design - Was ändert sich durch die Datenschutzgrundverordnung?

mein auto mein boot mein schloss carlitos photocase comAb dem 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) unmittelbare Gesetzesgrundlage  für die Verarbeitung personenbezogener Daten in Europa.

Dabei gibt es für jeden Hersteller von Lösungen und Produkten, die personenbezogene Daten verarbeiten wesentliche Neuerungen, deren Nichtbeachtung zur Mangelhaftigkeit des Produkts und entsprechenden vertraglichen Ansprüchen der Kunden führen können.

Die DSGVO schreibt in Artikel 25 vor, dass  der Schutz des Persönlichkeitsrechts der Menschen bereits in den Standardeinstellungen eines Produktes / einer Software voreingestellt sein muss (Privacy by Default). Alle Produkte, die auf den Markt kommen müssen also bei Auslieferungszustand bereits DSGVO-konform konfiguriert sein.

Darüber hinaus müssen die Produkte auch so konzipiert sein, dass die damit verbundenen Datenverarbeitungsprozesse, auch wenn die Betroffenen die Produkte mit den vorhandenen Bedienoptionen abweichend einstellen, datenschutzkonform  sind (Privacy by Design).

Ziel von Privacy by Default und Privacy by Design ist es, die Privatsphäre der von dem jeweiligen Datenverarbeitungsprozess betroffenen Menschen durch technische und organisatorische Maßnahmen zu gewährleisten sowie mögliche Datenschutzprobleme frühestmöglich zu entdecken und Schäden zu verhindern.

Mit Privacy by Default soll also ein Grundschutz erreicht werden und mit Privacy by Design ein erweiterter Schutz, den der Nutzer selbst innerhalb der datenschutzrechtlichen Vorgaben individuell anpassen kann.

Vereinfacht gesagt soll das Datenschutzniveau auf ein höheres und einheitliches Level gehoben werden und alle Unternehmen sollen sich zukünftig an Europäische Datenschutzstandards halten, wenn sie ihre Lösungen in Europa vermarkten wollen. Die zur Zeit vorhandene Wettbewerbsverzerrung, wonach derjenige, der sich datenschutzkonform verhält, nur darauf hoffen kann, dass die potentiellen Kunden, dies honorieren, soll beendet werden. Neben den verschärften Bußgeldandrohungen soll aufgrund der drohenden Mangelhaftigkeit einer nicht DSGVO-konformen Lösung / Produktes der Markt regulierend wirken.

Was bedeutet das konkret?

Eine fehlende, datenschutzrechtlich aber notwendige Funktion in einer Software bzw. in einem Produkt, z. B. die fehlende Möglichkeit zur Löschung von personenbezogenen Daten wäre als Rechtsmangel einzuordnen. Ebenso die Einbindung eines chinesischen Cloud-Services oder eines US-Cloud-Services ohne Einbindung des EU/US-Privacy-Shields. Beim Vorliegen eines Rechtsmangels kann beispielsweise der Kunde seine gesetzlichen Gewährleistungsrechte, bis hin zum Schadensersatz, geltend machen.

Softwarehersteller sollten auch in agilen Projekten alle Funktionen einer Lösung / eines Produktes mit den Vorgaben der DSGVO abstimmen. In professionellen Produkteentwicklungsprozessen wird eine datenschutzrechtliche begleitende Beratung obligatorisch werden, um ein Scheitern des Projekts aus rechtlichen Gründen und alle damit verbundenen finanziellen und Image-Nachteile zu vermeiden.

Die Dokumentation eines Produktes (z. B. die Erstellung eines Löschkonzeptes) wird ebenfalls obligatorisch werden. Diese Dokumentationen sind für Nutzer und Entwickler wichtiger Bestandteil ihrer gesetzlichen Nachweispflicht der technischen und organisatorischen Maßnahmen, die sie zur Absicherung ihrer Produkte ergriffen haben.

Hersteller sollten folgende Grundsätze schon bei der Produktentwicklung berücksichtigen: 

  • Minimierung der Verarbeitung personenbezogener Daten;
  • Vermeidung der Einbindung von Cloud-Services mit Datenverarbeitungsprozessen außerhalb der EU;
  • so schnell wie möglich Pseudonymisierung personenbezogener Daten;
  • Einsatz zeitgemäßer sicherer Verschlüsselungstechnologien;
  • Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten;
  • betroffenen Personen sollte man es ermöglichen, die Verarbeitung personenbezogener Daten zu überwachen / nachzuvollziehen;
  • Verantwortliche Stellen sollten in die Lage versetzt werden, Sicherheitsfunktionen zu nutzen und ihren Datenschutzpflichten nachzukommen, soweit dies unter gebührender Berücksichtigung des Stands der Technik möglich ist.

Nur wenn sich Unternehmen diesen Herausforderungen stellen, werden ihre Produkte nach Mai 2018 gute Chancen am Markt haben.

Bildquelle: mein auto mein boot mein schloss carlitos - photocase com

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Über den Autor:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY Rechtsanwälte.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754 oder auf www.shop.ruw.de

 

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2018 DURY Rechtsanwälte